Cryptage disque dur

Bonjour,

Existe-t-il un moyen de crypter un disque dur de sorte qu'il ne soit
lisible que depuis le PC depuis lequel il a été protégà © ? J'entends par
là, impossible de le lire en le démontant et en l'installant da ns un
autre PC.

Je te conseillerais d'utiliser LUKS avec cryptsetup dont voici un tutoriel :
http://www.lefinnois.net/wp/index.php/2008/01/05/chiffrement-de-disque-faci le-avec-debian/
Il est également possible de chiffrer tout ou partie d'un disque lors
de l'installation d'une debian directement à partir de son cd
d'install. Cela est documenté dans le manuel d'installation disponible
sur le site de debian.

La finalité est tout de même un peu différente de ce tu dema ndes :
Ici tu chiffres un "disque" (j'abrège, il est tard ;) qu'il sera
impossible de déchiffrer sans avoir préalablement saisit une
passphrase. Et ce quelque soit la machine à laquelle est reliée l e
"disque". Par exemple, si tu chiffres l'intégralité du disque dur
d'une machine (ce qui est possible depuis peu avec grub2), la
passphrase te sera demandée au démarrage de la machine (en fait a u
démarrage de la debian installée sur celle-ci).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Le 11 novembre 2009 01:57, Adrien Panay <adrien.panay@gmail.com> a écrit :

Bonjour,

Existe-t-il un moyen de crypter un disque dur de sorte qu'il ne soit
lisible que depuis le PC depuis lequel il a été protégé ? J'ente nds par
là, impossible de le lire en le démontant et en l'installant dans un
autre PC.

Je te conseillerais d'utiliser LUKS avec cryptsetup dont voici un tutorie l :
http://www.lefinnois.net/wp/index.php/2008/01/05/chiffrement-de-disque-fa cile-avec-debian/

En effet Luks me parait plus intelligent comme solution parce qu'en
cas de panne matériel tu risquerais de perde bêtement toutes tes
données !

Le mieux est l'ennemi du bien.

--
Kévin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

fenark a écrit :

Bonjour,

Existe-t-il un moyen de crypter un disque dur de sorte qu'il ne soit
lisible que depuis le PC depuis lequel il a été protégé ? J'entends par
là, impossible de le lire en le démontant et en l'installant dans un
autre PC.

Apparemment mon 1er mail n'est pas arrivé (panne edf pile-poil
lors de l'envoi)


Ca me parait une Tmauvaise idée: si la carte-mète pète, tes
donnée partent direct à la poubelle sans *aucune* possibilité
de récup'.

Tu peux t'inspirer d'un des HOWTOs sur le sujet et installer la
cléE (encryption) sur une cléU (USB) + une protection de la cléE
par un password.
Ce qui fait que toute déconnection nécessitera non-seulement de
booter avec ladite cléU installée sur le PC (si tout l'OS est
concerné), mais aussi de taper le password de protection de la cléE.

--
Non Illegitimus Carborundum.
[Don't let the bastards wear you down.]

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Le mercredi 11 novembre 2009 à 02:14 +0100, Kevin Hinault a écrit :

Le 11 novembre 2009 01:57, Adrien Panay <adrien.panay@gmail.com> a écrit :
> Bonjour,
>
>> Existe-t-il un moyen de crypter un disque dur de sorte qu'il ne soit
>> lisible que depuis le PC depuis lequel il a été protégé ? J'entends par
>> là, impossible de le lire en le démontant et en l'installant dans un
>> autre PC.
>
> Je te conseillerais d'utiliser LUKS avec cryptsetup dont voici un tutoriel :
> http://www.lefinnois.net/wp/index.php/2008/01/05/chiffrement-de-disque-facile-avec-debian/

En effet Luks me parait plus intelligent comme solution parce qu'en
cas de panne matériel tu risquerais de perde bêtement toutes tes
données !

Le mieux est l'ennemi du bien.

--
Kévin

Merci beaucoup pour vos réponses. Avec TPM, c'est le mieux, mais pas
satisfaisant car pertes des données en cas de pannes de la carte mère.
Luks est une bonne solution mais ne convient pas tout à fait à mon
besoin. Le must serait d'avoir le contenu de TPM sur clé usb en cas de
panne de la carte mère :)





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

On Wed, Nov 11, 2009 at 04:41:45PM +0100, fenark wrote:

Merci beaucoup pour vos réponses. Avec TPM, c'est le mieux, mais pas
satisfaisant car pertes des données en cas de pannes de la carte mère.
Luks est une bonne solution mais ne convient pas tout à fait à mon
besoin. Le must serait d'avoir le contenu de TPM sur clé usb en cas de
panne de la carte mère :)

Luks avec une smartcard alors?

Ton besoin n'est pas très clair: tu as d'abord exprimé le
besoin que ton disque dur ne puisse pas être sorti et lu sur
un autre PC, maintenant tu cherches autre chose... Quel est
le problème avec la solution Luks "normale" (mot de passe,
donc disque dur utilisable par toi uniquement, c'est bien
ça?)?

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Le mercredi 11 novembre 2009 à 17:19 +0100, Yves Rutschle a écrit :

On Wed, Nov 11, 2009 at 04:41:45PM +0100, fenark wrote:
> Merci beaucoup pour vos réponses. Avec TPM, c'est le mieux, mais pas
> satisfaisant car pertes des données en cas de pannes de la carte mère.
> Luks est une bonne solution mais ne convient pas tout à fait à mon
> besoin. Le must serait d'avoir le contenu de TPM sur clé usb en cas de
> panne de la carte mère :)

Luks avec une smartcard alors?

Ton besoin n'est pas très clair: tu as d'abord exprimé le
besoin que ton disque dur ne puisse pas être sorti et lu sur
un autre PC, maintenant tu cherches autre chose... Quel est
le problème avec la solution Luks "normale" (mot de passe,
donc disque dur utilisable par toi uniquement, c'est bien
ça?)?

Y.

En fait, c'est plutôt cryptage, mais l'utilisateur n'a pas la clé. Par
contre, le service chargé de la maintenance a la clé. Donc l'utilisateur
devrait pouvoir utiliser le PC sans connaitre la clé. TPM est correcte
pour ce point.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

fenark a écrit :

Existe-t-il un moyen de crypter un disque dur de sorte qu'il ne soit
lisible que depuis le PC depuis lequel il a été protégé ? J'entends par
là, impossible de le lire en le démontant et en l'installant dans un
autre PC.

http://www.gigabyte.fr/FileList/WebPage/mb_080818_ultratpm/tech_080818_ultratpm.htm

--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

fenark a écrit :

Le mercredi 11 novembre 2009 à 02:14 +0100, Kevin Hinault a écrit :

Le 11 novembre 2009 01:57, Adrien Panay <adrien.panay@gmail.com> a écrit :

Bonjour,

Existe-t-il un moyen de crypter un disque dur de sorte qu'il ne soit
lisible que depuis le PC depuis lequel il a été protégé ? J'entends par
là, impossible de le lire en le démontant et en l'installant dans un
autre PC.

Je te conseillerais d'utiliser LUKS avec cryptsetup dont voici un tutoriel :
http://www.lefinnois.net/wp/index.php/2008/01/05/chiffrement-de-disque-facile-avec-debian/

En effet Luks me parait plus intelligent comme solution parce qu'en
cas de panne matériel tu risquerais de perde bêtement toutes tes
données !

Le mieux est l'ennemi du bien.

--
Kévin

Merci beaucoup pour vos réponses. Avec TPM, c'est le mieux, mais pas
satisfaisant car pertes des données en cas de pannes de la carte mère.
Luks est une bonne solution mais ne convient pas tout à fait à mon
besoin. Le must serait d'avoir le contenu de TPM sur clé usb en cas de
panne de la carte mère :)

Tu peux utiliser un fichier comme clé de chiffrement dans luks, j'ai
expérimenté un script dans ce sens, et cela fonctionne très bien. Le
fichier peut sans problème être déplacé ou conservé sur une machine en
particulier, mais le problème est qu'un fichier peut être également
subtilisé.

Il est possible, je pense, d'écrire un script qui génère un code à
partir des spécifications matériels de la machine, et ainsi monter le
disque avec ce code qui serait généré à chaque démarrage. Ça
correspondrait à ce que tu cherches à faire, et il serait probablement
possible de générer ce code sur la présence d'un matériel non sensible
de la machine, qui ferait que la perte d'un élément n'aurait pas
d'influence sur le code utilisé.

Il est également possible d'assigner plusieurs clés de chiffrement à
luks, il serait alors possible de réinitialiser la clé en cas de
changement de matériel avec un mot de passe utilisé uniquement pour
cette occasion.

Après, si le but est de se protéger contre l'extorsion, il est
préférable d'user d'un système de génération de clef aléatoire à chaque
boot qui rendrait le montage du disque impossible en cas de vol du
disque dur, mais qui reste très dangereuse car la perte des données sera
à la merci de la moindre coupure d'alimentation de la machine, ou d'une
mauvaise manipulation.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Goldy a écrit :
...

Après, si le but est de se protéger contre l'extorsion, il est
préférable d'user d'un système de génération de clef aléatoire à chaque
boot qui rendrait le montage du disque impossible en cas de vol du
disque dur, mais qui reste très dangereuse car la perte des données sera
à la merci de la moindre coupure d'alimentation de la machine, ou d'une
mauvaise manipulation.

il peut aussi utiliser un algo de type rolling-code, utilisé dans les télécommandes
de sécurité, laissant non-pas une seule poss. mais une fenêtre (plus ou moins
large) de poss., dans ce cas, exit le PB de quelques coupures.
En Gal, la fenêtre d'une télécommande est de 128 poss., mais il-y-a plus de chances
de louper des codes (appuis dans la poche, par ex.) qu'avec un micro.

--
Many are cold, but few are frozen.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org